Incidenti informatici: il modello per segnalarli al Garante
di Annamaria Villafrate - Con il provvedimento del 30 luglio (sotto allegato) con cui il Garante privacy rende noto il nuovo modello (sotto allegato) da utilizzare per segnalare i data breach, ovvero i casi di violazione dei dati personali, si aggiunge un altro tassello all'attuazione del Gdpr. Vediamo cosa prevede il provvedimento, come è composto il modello e come fare per inviarlo al Garante.
Data breach: il provvedimento del Garante
Il Garante per la protezione dei dati personali il 30 luglio 2019 ha emanato il provvedimento sulla notifica delle violazioni dei dati personali (sotto allegato), meglio noto con il termine "data breach". Il provvedimento va a sostituire quanto stabilito in relazione ai termini temporali, contenuto, modalità della comunicazione delle violazioni di dati personali e di scambio dei dati personali tra amministrazioni pubbliche, in materia di Dossier sanitario, in tema di biometria, nell'ambito della disciplina sulla comunicazione delle violazioni di dati personali e della circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie.
Il modello per le segnalazioni
Per consentire ai soggetti che sono tenuti a notificare le violazioni dei dati personali al Garante, in adempimento degli obblighi sanciti dall'art. 33 del regolamento e dall'art. 26 del dlgs n. 51/2018, il provvedimento reca in allegato un modello che si compone delle seguenti parti:
- tipo di notifica: preliminare, completa o integrativa;
- Sez A: dati del soggetto notificante;
- Sez B: dati del titolare del trattamento;
- Sez B1: dati di contatto per acquisire informazioni sulla violazione;
- Sez B2: dati dei soggetti che coinvolti nel trattamento dei dati, con indicazione del ruolo svolto;
- Sez C: data e periodo della violazione; momento e modalità in cui il titolare ne è venuto a conoscenza dell'inosservanza; motivi dell'eventuale ritardo della notifica se avvenuta oltre le 72 ore; descrizione in breve della violazione; natura e causa della stessa, categorie di dati personali oggetto dell'infrazione; volume dei dati violati; categorie e numero dei soggetti coinvolti nella violazione;
- Sez D: informazioni di dettaglio della violazione, come la categoria dei dati violati, descrizione dei sistemi e delle infrastrutture tecnologiche e informatiche coinvolte con indicazione della loro ubicazione; misure di sicurezza messe in atto per garantire la sicurezza dei dati;
- Sez E: possibili conseguenze e gravità della violazione in caso di perdita di confidenzialità, di disponibilità, potenziali effetti negativi per gli interessati, stima della gravità della violazione;
- Sez F: misure adottate per rimediare, ridurre gli effetti negativi e prevenire violazioni future;
- Sez G: comunicazione agli interessati in cui indicare se la violazione è stata comunicata agli interessati, quanti sono, qual'è il contenuto della comunicazione agli stessi e quale canale è stato utilizzato;
- Sez H: raccoglie le informazioni residuali per sapere se la violazione ha coinvolto soggetti interessati di paesi dello spazio economico europeo o fuori di esso, se la violazione è stata notificata ad altri organismi deputati alla vigilanza o al controllo e se è stata effettuata una segnalazione anche agli organi giudiziari o di polizia.
Come inviare il modello
Il modello previsto per la segnalazione della violazione dei dati personali, una volta scaricato, deve essere compilato, indicando obbligatoriamente nell'oggetto del messaggio la dicitura "notifica violazione dati personali" e inviato all'indirizzo protocollo@pec.gpdp.it.
Il modello deve essere sottoscritto con firma elettronica qualificata, digitale o autografa, ma in questo caso è necessario allegare una copia del documento di identità di chi appone la firma.
Data: 29/08/2019 14:00:00Autore: Annamaria Villafrate